IT-Sicherheit

Strenge rechtliche Regelungen für den Datenschutz gefordert. Die großen Industrieverbände sehen die Radiofrequenz-Identifikation (RFID) in Deutschland und Europa vor dem Durchbruch. Laut einer Studie der Deutschen Bank wächst der Weltmarkt für diese Systeme sowohl im Hard- und Software-Bereich als auch bei den Dienstleistungen von 2004 bis 2010 von 1,5 auf 22 Milliarden Euro. Doch Verbraucherschützer monieren: Wenn bald jeder Joghurtbecher vom Regal über die Kasse bis in den privaten Kühlschrank daheim verfolgt werden kann, werde der Konsument zum gläsernen Kunden.

Apple bringt iTunes 6.0.5 für Windows und MacOS X. Die neue Version 6.0.5 von iTunes schließt ein gefährliches Sicherheitsloch, worüber Angreifer beliebigen Programmcode ausführen könnten. Angreifer könnten so eine umfassende Kontrolle über ein fremdes System erhalten. Das Sicherheitsloch betrifft sowohl die Windows- als auch die Mac-Ausführung von iTunes.

Gültigkeitsprüfung von Windows-Lizenzen nicht mehr täglich. Microsoft beendet in Kürze die Pilotphase der Gültigkeitsprüfung von Windows-Lizenzen und ändert in diesem Zusammenhang das Prüfintervall. Zukünftig nehmen Windows-XP-Systeme nicht mehr bei jedem Rechnerstart Kontakt zu Microsoft-Servern auf, um die Korrektheit der Windows-Lizenz zu bestätigen. Besonders die täglichen Anfragen an die Microsoft-Server sind bei Windows-Kunden in die Kritik geraten.

Fanjitas eLoader soll bald darauf angepasst sein. Das Katz-und-Mausspiel um die PlayStation Portable (PSP) geht weiter: Nun haben Hacker eine Sicherheitslücke entdeckt, mit der die Firmware-Versionen 2.50 sowie 2.60 ausgetrickst werden können, um etwa selbstgeschriebene Software ausführen zu können. In einem Video auf YouTube.com ist zudem eine mit Modchip versehene PSP mit der aktuellen Firmware 2.71 in Aktion zu sehen.

Neuer Patch beseitigt Einwahlprobleme. Ein im Juni 2006 erschienener Sicherheits-Patch für die Windows-Plattform steht in einer aktualisierten Ausführung bereit, um mögliche Fehler zu beseitigen. Der bisherige Patch konnte Einwahlverbindungen ins Internet stören, so dass Anwender unter Umständen nicht mehr ins Internet kamen. Microsoft hat bereits Schadcode entdeckt, der diese Sicherheitslücke ausnutzt.

Scoring-Systeme erhalten freie Bahn von der Regierung. Der Bundesverband der Verbraucherzentralen befürchtet durch die geplante Änderung des Kreditwesengesetzes, dass Banken Kundendaten vermehrt sammeln und die Kreditwürdigkeit alleine durch Scoring-Systeme beurteilen könnten. Man erwartet zudem ständige Verstöße gegen den Datenschutz.

Angreifer können beliebigen Programmcode einschleusen und ausführen. Eine knappe Woche, nachdem Microsoft den Instant-Messaging-Client Windows Live Messenger als Final-Version veröffentlicht hat, wurde bereits ein schweres Sicherheitsloch darin gefunden. Mit einer präparierten Kontaktlistendatei kann ein Angreifer beliebigen Programmcode auf ein fremdes System einschleusen und dort ausführen.

Künftiger Ausweis enthält Chip mit biometrischen Daten. Der künftige elektronische Personalausweis soll als Reisedokument einen Chip enthalten, auf dem biometrische Daten (zum Beispiel Fingerabdrücke) gespeichert werden können. Dies teilt die Bundesregierung in ihrer Antwort auf eine Kleine Anfrage der FDP-Fraktion mit.

Excel erlaubt Ausführung von Programmcode. Mit Hilfe eines präparierten Excel-Dokuments kann ein weiteres Sicherheitsrisiko in Microsofts Tabellenkalkulation für Angriffe missbraucht werden. Ein Opfer muss lediglich dazu gebracht werden, ein entsprechend modifiziertes Excel-Dokument zu öffnen, damit ein Angreifer beliebigen Programmcode ausführen kann.

Abspielen von MIDI-Dateien erlaubt Programmausführung. Mit Hilfe modifizierter MIDI-Dateien können Angreifer beliebigen Programmcode ausführen, wenn die Klangdateien mit Winamp abgespielt werden. Die aktuelle Winamp-Version korrigiert den Fehler und soll nun gegen derartige Angriffe gefeit sein. Weitere Neuerungen bringt Winamp 5.24 nicht.

Tägliche Prüfung der Windows-Lizenz umgehen. Die seit kurzem von Microsoft vorgenommene Prüfung einer Windows-Lizenz kann mit Hilfe einer Freeware deaktiviert werden. Entstanden ist das Werkzeug, um den Datenaustausch zu Microsofts Servern zu unterbinden, was ein Einfallstor für Angreifer sein könnte. Seit einer Weile liefert Microsoft ein Tool an Windows-Nutzer, das fortan täglich die Korrektheit der Windows-Lizenz prüft.

OLG München: Anbieter muss Kundendaten nicht herausgeben. Der bayerische Telekommunikationsanbieter M-net hat sich in Sachen Inverssuche auch in zweiter Instanz gegen die Telefonauskunft Telegate durchgesetzt. M-net wehrt sich gegen die Herausgabe von Teilnehmerdaten für die Inverssuche, also die Suche von Teilnehmerdaten anhand ihrer Telefonnummer.

Acrobat 7.0.8 für Windows und MacOS X. Adobe stellt ab sofort ein Update auf die Version 7.0.8 von Acrobat für Windows und MacOS X zum Download bereit. Das Update soll Programmfehler bereinigen und verschiedene Sicherheitslücken schließen. Unter anderem wird nun die PDFMaker-Toolbar wieder korrekt in Microsofts Office-Suite integriert und versteht sich auch wieder mit AutoCAD 2002 und 2006.

Beispielcode deckt Sicherheitslücke in hlink.dll auf. Verschiedene US-Medien berichten über ein angebliches zweites in Excel steckendes Sicherheitsloch, das bereits durch Beispielcode missbraucht wird. Dieses Sicherheitsleck steckt allerdings nicht in Excel, sondern in einer Windows-Komponente, betont Microsoft nun. Bereits vor wenigen Tagen wies Redmond auf ein Sicherheitsloch in Excel hin, das ebenfalls durch Schadcode ausgenutzt wird. In beiden Fällen habe sich der Beispielcode bislang nicht verbreitet.

PCs von Asus, Dell, Sony und Toshiba gefährdet. Über eine Sicherheitslücke im Bluetooth-Stack von Toshiba lassen sich PCs zum Absturz bringen. Die löchrige Software wird mit zahlreichen Rechnern verkauft. Zwar gibt es Abhilfe, aber noch keine elegante Lösung.

Bundesministerium fördert die European Multilaterally Secure Computing Base. Mit "Turaya Crypt" und "Turaya VPN" hat das vom Bundesministerium für Wirtschaft und Technologie (BMWi) geförderte Projekt EMSCB die ersten Bausteine einer Open-Source-Sicherheitsplattform veröffentlicht, die Trusted Computing unterstüzt. Die Software soll der deutschen Industrie eine standardisierte Basis an die Hand geben, um diese unabhängig von Monopolisten zu machen.

Analyse bei Microsoft läuft noch. Microsoft berichtet über entdeckten Schadcode für Excel, der ein Sicherheitsloch in der Tabellenkalkulation ausnutzt. Bislang habe Microsoft nur von einem Vorfall erfahren und derzeit laufen die Untersuchungen daran. Daher ist bislang auch unklar, welche Auswirkungen der Schadcode hat und ob er Dateien zerstört.

Vermutlich noch zwei Service Packs für Windows XP geplant. Im Internet bahnt sich ein Gerücht seinen Weg, wonach Microsoft bereits ein viertes Service Pack für Windows XP plane. Zunächst ist für die zweite Jahreshälfte 2007 das Service Pack 3 für Windows XP vorgesehen. Welche Änderungen die kommenden Service Packs bringen werden, ist noch nicht bekannt.

Gesetz soll Verbraucher vor unerwünschter Werbung schützen. Die Bundesregierung hat am Mittwoch den Entwurf für das "Elektronische Geschäftsverkehrvereinheitlichkeitsgesetz" (ElGVG) verabschiedet. Hinter dem kryptischen Namen versteckt sich ein Gesetz, das Verbraucher vor unerwünschter Werbung schützt.

Sicherheitslücken in Kernel-Treibern nur sehr schwer auszunutzen. Im Rahmen einer Konferenz zu Computersicherheit stellten Experten von Intel und McAfee ihre Ergebnisse zu Experimenten mit Sicherheitslücken in Windows-Treibern vor. Das Ergebnis: Selbst wenn die Treiber mit allen Rechten laufen, lassen sich Lücken darin nur schwer nutzen, um einen Rechner unter fremde Kontrolle zu bringen.

Sicherheits-Patches korrigieren sieben Windows-Fehler. Microsoft beseitigt am Juni-Patch-Day 2006 außer den Sicherheitslücken in Office, im Exchange Server, im Windows Media Player und im Internet Explorer auch sieben Windows-Löcher. Von diesen Sicherheitslöchern stuft Redmond die Hälfte als gefährlich ein, weil darüber entweder beliebiger Programmcode eingeschleust werden oder sich ein Angreifer eine umfassende Kontrolle verschaffen kann.

Programm erkennt mehr Betriebssysteme und Protokolle. Der freie Sicherheits-Scanner Nmap ist jetzt in der Version 4.10 verfügbar, die eine erweiterte Datenbank bietet, um noch mehr Betriebssysteme und Protokolle zu erkennen. Zudem ignoriert die Software nun bestimmte Port-Zustände, um so beispielsweise nicht hunderte gesperrte Ports einzeln aufzulisten. Die aktuelle Version korrigiert außerdem einige Fehler, die in der Vorversion entdeckt wurden.

Energie wird drahtlos per RFID-Reader übertragen. Mit seiner "Wireless Indentification and Sensing Platform" (Wisp) erforscht Intel derzeit eine Technik, mit der sich sensorische Daten in winzigen Geräten ohne eigene Stromversorgung erfassen und übertragen lassen. Dazu wird ein RFID-Reader drahtlos angezapft.

Sammel-Patch beseitigt acht Sicherheitslecks in Microsofts Browser. Mit einem Sammel-Patch korrigiert Microsoft gleich acht Sicherheitslücken im Internet Explorer, wovon fünf als gefährlich einzustufen sind. Der Sammel-Patch vom Juni 2006 korrigiert zudem zwei Spoofing-Lecks in Microsofts Browser. Außerdem stehen Patches für den JScript-Interpreter und die ART-Grafikbibliothek bereit. Über viele der nun bekannt gewordenen Sicherheitslücken können Angreifer beliebigen Programmcode ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen.

Gefährliche Sicherheitslücken in Word, PowerPoint und im Windows Media Player. Für die beiden Office-Komponenten Word und PowerPoint, für den Windows Media Player sowie für den Exchange Server hat Microsoft Sicherheits-Updates am diesmonatigen Patch-Day veröffentlicht. Die beiden Sicherheitslecks in den Office-Applikationen und der Fehler im Windows Media Player werden als kritisch bewertet, weil Angreifer beliebigen Programmcode ausführen können. Das Sicherheitsloch in Exchange betrachtet Microsoft als weniger gefährlich.

Schädling ohne Anhang verbreitete sich per JavaScript. In Yahoos E-Mail-Dienst steckte bis zum gestrigen Montag ein Sicherheitsleck, worüber sich ein neuer Wurm verbreitet hat. Bereits das Öffnen einer E-Mail genügte, um als Windows-Nutzer Opfer des Wurmangriffs zu werden. Üblicherweise können sich Würmer nur verbreiten, indem Nutzer zum Starten der angehängten Datei gebracht werden. Dieser Schädling macht sich jedoch eine JavaScript-Sicherheitslücke auf der Windows-Plattform zunutze.

Sicherheitsprodukte für Unternehmen erhalten zum Teil neue Bezeichnungen. Unter dem Markennamen Forefront fasst Microsoft künftig alle bisherigen Sicherheitslösungen für Unternehmenskunden zusammen. So gehören zu Forefront die kürzlich veröffentlichten Produkte der Antigen-Reihe, die im Zuge dessen teilweise umbenannt werden.

Microsoft sieht Gefahr von Kompatibilitätsproblemen. Im Juli 2006 endet bekanntlich der technische Support für Windows 98, 98 SE und ME. Bereits im Vorfeld wird Microsoft eine Sicherheitslücke in den DOS-basierten Betriebssystemen nicht mehr schließen. Für andere Windows-Plattformen bietet Redmond bereits seit April 2006 passende Patches, verweigert nun aber die Bereitstellung entsprechender Korrekturen für die Windows-98-Plattform.

Studie untersucht Motivation von Computer-Vielnutzern. Hacker streben nach einem Kompetenzerlebnis, Cracker suchen zudem Aufregung und den Reiz des Illegalen. Beiden Gruppen gemeinsam ist aber das Streben nach einem Gemeinschaftserlebnis, zu diesem Ergebnis kommt der Psychologe Prof. Dr. Falko Rheinberg von der Universität Potsdam. Rheinberg ging der Frage nach, warum diese Gruppen ihre Freizeit so ausgiebig mit dem Rechner verbringen.

Sicherheitsexperten sollen Windows Vista unter die Lupe nehmen. Microsoft will mit Vista die sicherste Windows-Version aller Zeiten auf den Markt bringen. Der Softwarekonzern will die Sicherheitsfunktionen des Windows-XP-Nachfolgers auf der Black-Hat-Sicherheitskonferenz vor der Fertigstellung des Betriebssystems vorstellen, um Rückmeldungen und Kommentare von Sicherheitsexperten zu erhalten.

Vorabinformation zu Microsofts Patch-Day am 13. Juni 2006. Der allmonatliche Patch-Day von Microsoft steht für den 13. Juni 2006 an und wird Sicherheitslecks in Windows, Office und dem Exchange Server schließen. Die Sicherheitslücken in Windows und Office stuft Redmond als kritisch ein und empfiehlt eine baldige Einspielung der Patches. Insgesamt sind zwölf Sicherheits-Patches geplant.

Lizenzprüfungsintervall von Windows wird erhöht. Seit einigen Wochen verteilt Microsoft auch in Deutschland ein Tool an Windows-Nutzer, um die Korrektheit der Windows-Lizenz zu prüfen. Damit kämpft Redmond verstärkt gegen Softwarefälschungen und Raubkopien. Seitdem kontrolliert das Betriebssystem täglich die verwendete Lizenz und nimmt dazu Kontakt zu Microsoft-Servern auf, was zunehmend in die Kritik gerät.

Manipuliertes Bild führt zu 100-prozentiger CPU-Auslastung. In der freien Grafikbibliothek GD wurde ein Fehler entdeckt, der für einen Denial-of-Service-Angriff (DoS) ausgenutzt werden kann. GD kann dynamisch Bilder in Formaten wie PNG, JPEG und GIF erstellen und so beispielsweise auf Abruf Diagramme und Vorschaubilder erstellen. Vor allem im PHP-Umfeld kommt die GD-Bibliothek zum Einsatz.

Intrusion Detection System auch in Version 2.4.5 erschienen. Das freie Intrusion Detection System Snort ist in den Versionen 2.4.5 und 2.6 erschienen. Während Snort 2.4.5 nur der Fehlerbereinigung dient, bietet 2.6 auch neue Funktionen wie dynamische Regeln und Preprozessoren. Beide Veröffentlichungen korrigieren außerdem einen Fehler, durch den Snort keine Angriffe auf den Apache-Webserver erkannte.

Dritter Patch für StarOffice 8 beruht auf OpenOffice.org 2.0.3. Kurz bevor die Version 2.0.3 von OpenOffice.org erwartet wird, bietet Sun bereits ein Update für StarOffice 8 an, das die Änderungen aus OpenOffice.org 2.0.3 enthält. Der dritte Patch für StarOffice 8 bringt ein paar Verbesserungen, dient aber vor allem der Beseitigung von Programmfehlern.

Microsoft bringt aufgekaufte Sybari-Produkte auf den Markt. Mit Antigen stellt Microsoft Sicherheitslösungen speziell für Unternehmenskunden bereit, nachdem Redmond kürzlich mit "Windows OneCare Live" ein Sicherheitsprodukt für Privatanwender vorgestellt hat. Antigen soll Unternehmensnetze vor Virenangriffen, Spam-Belästigungen und anderen Computerattacken bewahren.

Version 3.0.6 und 3.1.3 sind nicht betroffen. Eine Sicherheitslücke in SpamAssassin 3.0.3 erlaubt unter Umständen beliebige Shell-Kommandos auszuführen. Das Problem tritt auf, da der Spam-Filter bestimmte Eingaben nicht genügend überprüft. Die aktuellen Versionen sollen jedoch schon korrigiert sein.

400 elektronische Reisepässe mit 50 Lesegeräten ausprobiert. Bei einem Interoperabilitätstest wurden elektronische Reisepässe und Lesegeräte von Experten aus 38 Nationen erfolgreich getestet. Wichtig war vor allem die wechselseitige Funktionsfähigkeit der Systeme.

Verschlüsselung läuft unbemerkt im Hintergrund. Der Erfinder der Verschlüsselungslösung PGP hat ein neues Produkt angekündigt, das automatisiert die Inhalte auf Datei-Servern verschlüsselt. Damit soll besonders in Unternehmen Unbefugten der Zugriff auf vertrauliche Daten erschwert werden. Allerdings dauert es noch bis zum Herbst 2006, bis PGP NetShare auf den Markt kommt.

Thunderbird 1.5.0.4 als Universal Binary für MacOS X zu haben. Für die drei Mozilla-Applikationen Firefox 1.5.x, Thunderbird 1.5.x sowie die Browser-Suite SeaMonkey 1.x stehen ab sofort Patches bereit, um verschiedene darin befindliche Sicherheitslecks zu schließen. Firefox 1.5.0.4 beseitigt insgesamt 12 Sicherheitslecks, wovon immerhin 5 Lücken als kritisch eingestuft werden. Thunderbird 1.5.0.4 korrigiert 8 Sicherheitslöcher, allerdings trägt hier nur eines die Gefahrenstufe kritisch.

Unter Windows XP laufende Spiele sollen auch unter Vista funktionieren. Wenn Anfang 2007 die neue Windows-Version Vista auf den Markt kommt, könnten sich tief ins Windows-XP-System eingreifende Kopierschutzsysteme quer stellen: Wie die Redakteure von ExtremeTech im Selbstversuch herausfanden, verweigern Starforce-geschützte Spiele ihren Dienst in der aktuellen Vista Beta 2. Starforce wies gegenüber Golem.de allerdings auf ein Update hin, welches die Probleme beseitige.

Ältere Updates sind noch bis Dezember 2006 verfügbar. Vier Jahre nach der Veröffentlichung von Debian GNU/Linux 3.0 läuft Ende Juni 2006 nun die Sicherheitsunterstützung für die Distribution aus. Damit haben die Debian-Entwickler den Anwendern ein Jahr Zeit gelassen, um auf die aktuelle Version 3.1 umzusteigen.

Chiffrierung ohne Softwareinstallation nutzen. Üblicherweise benötigt man zur Textverschlüsselung ein separates Programm wie beispielsweise PGP oder ähnliche Software. Im Internetcafé aber oder an anderen fremden Rechnern bestehen wenig Möglichkeiten, auf die Schnelle Texte für unbefugte Dritte unlesbar zu machen. Der Crypto-Softwarehersteller Steganos hat mit FreeCrypt nun einen Dienst, der Texte auf einer Webseite ver- und entschlüsselt.